データプライバシーとは？重要性、ベストプラクティス、各国の法規制を解説

プライバシー保護のされていない顧客データは、段ボール箱に入れられたお金のようなものです。もちろん、すぐにそれが誰かに見つかるとは限りません。しかし、もし見つかったら、盗まれないようにお金を守るものは何もありません。そのため、顧客データの管理に関しては、顧客データのプライバシー保護を必ず優先的に行わなければなりません。さらに、適切なデータ管理をすれば段ボール箱は鋼でできた銀行の金庫になり、データを悪用しようとする者を撃退することができます。

本記事では、データプライバシーの重要性、データプライバシーに対する脅威、ベストプラクティス、各国の主要なプライバシーに関する法規制について、Zendesk CXトレンドレポート 2024に掲載された事実や数字を基に解説します。

目次て

• データプライバシーが重要である理由
• データプライバシーに対する6つの脅威
• 顧客データを保護するための12のベストプラクティス
• データプライバシーに関する主な基準と規制
• よくある質問

データプライバシーが重要である理由

顧客データのプライバシーが重要なのは、顧客の個人情報を保護するためです。企業が顧客データのプライバシーを優先的に保護しなければ、顧客がデータを共有するつもりのなかった人々や団体に個人情報が漏洩する危険性があります。

多くのCX（カスタマーエクスペリエンス、顧客体験）リーダーは、安全で優れたCXを提供し、顧客の信頼を構築するために、顧客データのプライバシーを優先的に保護しています。個人情報を適切に扱っている企業であると顧客から信頼されなければ、他のことでも信頼されることはないでしょう。

さらに、顧客データのプライバシー保護は法的要件になることも多くあります。企業と顧客の所在地や業種に基づいて関連する個人情報保護法を遵守しなかった場合、罰金の対象となる可能性があります。

CXリーダーの83%が、「データ保護とサイバーセキュリティがカスタマーサービス戦略における最優先事項である」と回答出典: Zendesk CXトレンドレポート 2024

データプライバシーがビジネスに与える影響

データプライバシーは顧客との関係構築に直接影響を与えるため、ビジネスでは最も注力すべき分野の1つです。 もし企業が顧客データを安全に扱わなければ、生活に悪影響を与えるような脅威に顧客をさらす可能性があります。その結果、顧客は企業に対する信用を失い、他社との取引に切り替えるかもしれません。

また、もし企業がデータのプライバシーと保護の管理を適切にしていないという評判を得てしまうと、見込み客はその企業と仕事をしたいと思わなくなるでしょう。逆に言えば、顧客データの安全性とプライバシーを優先的に保護する企業であれば、顧客からより高い信頼を獲得し、競合他社に勝てるかもしれません。

データプライバシーに対する6つの脅威

顧客データを保護できなければ、顧客のプライバシーが損なわれる可能性があります。個人情報の盗難からソフトウェアの脆弱性まで、企業が知っておくべきデータプライバシーに対する6つの脅威をご紹介します。

個人情報の盗難

顧客データの機密性が保たれていないと、顧客は個人情報盗難の危険にさらされる可能性があります。個人情報の盗難とは、誰かが他人の情報を本人から同意を得たり本人に知らせたりすることなく使用することを指します。

例えば、個人情報窃盗犯は個人情報を使って政府給付金を申請したり、クレジットカードを契約したり、被害者の名前でローンを組んだりすることがあります。個人情報の盗難によって、クレジットスコアへの悪影響から経済的損失まで、盗まれた当人に致命的にな影響が生じる可能性があります。

金融詐欺

個人情報の盗難と同様、金融詐欺では特に金銭的利益のために個人情報を悪用します。詐欺師が都合に合う顧客データを見つければ、さまざまな方法で金融詐欺を働きます。

例えば、窃盗犯は盗んだログイン認証情報を使って、誰かのインターネット上の銀行口座に不正アクセスするかもしれません。あるいは、盗んだクレジットカード情報を使ってオンラインで買い物をすることもあります。

データ侵害

データ侵害とは、顧客データのような個人情報や機密情報に個人が不正にアクセスするセキュリティインシデントです。もし企業がサイバー攻撃の標的にされ、適切な保護策を講じていなければ、顧客データが流出する可能性があります。データ侵害によって、個人情報の盗難、金融詐欺、その他のプライバシーへの脅威への扉が開かれる可能性があります。

ハッカーとサイバー攻撃

ハッカーやサイバー攻撃も顧客データのプライバシーを脅かします。サイバー攻撃の一般的な例として、フィッシングがあります。フィッシング攻撃とは、ハッカーが信頼できる発信元になりすましてメールを送り、人々を騙して個人情報を提供させることです。企業内の誰かがフィッシング詐欺の標的になった場合、企業の顧客データのプライバシーが危険にさらされる可能性があります。

もう一つの例はマルウェア攻撃です。マルウェアとは、コンピューターシステムに不正アクセスしたり、損害を与えたりするように設計された悪意のあるソフトウェアのことです。ハッカーは、フィッシングメールにマルウェアを添付したり、信頼できるWebサイトを装った悪意のあるWebサイトにマルウェアへのリンクを張ったりすることで、システムをマルウェアにさらす可能性があります。マルウェア攻撃が成功すれば、顧客データの安全性が損なわれる可能性があります。

ソフトウェアの脆弱性

同僚とのメッセージのやりとりに使っているソフトウェアであれ、見込み顧客の把握に使っているCRM（顧客管理）システムであれ、ハッカーはソフトウェアの脆弱性を利用して顧客データに不正アクセスしようとする可能性があります。

このため、必ず信頼できるセキュリティ対策とプライバシー基準を備えたソフトウェアのみを使用するようにしてください。さらに、ソフトウェアを常に最新の状態に保つことで脆弱性のリスクを減らすことができます。これは、通常ソフトウェアが更新されることによって脆弱性のリスクに対応できるようになるためです。

顧客データを保護するための12のベストプラクティス

データプライバシーの侵害は、顧客の日常生活や企業の事業運営に致命的な影響を及ぼすため、企業としては最善の対策を施す必要があります。以下、データプライバシーに関する12個のベストプラクティスをご紹介します。

1. データプライバシーに関する教育を従業員に施す

「A chain is only as strong as its weakest link（鎖の強さは最も弱い輪の強度で決まる）」という格言が英語にあります。これは組織のサイバーセキュリティにも当てはまります。顧客データを扱う企業であれば、データプライバシーのベストプラクティスについて全従業員を教育することをお勧めします。

これにより、従業員一人ひとりが顧客データのプライバシーとセキュリティを優先した行動を確実に取るようにすることができます。例えば、全従業員が強固なパスワードを使用し、不審なリンクをクリックしないようにしなければなりません。従業員がデータプライバシーのベストプラクティスを理解していなければ、知らないうちにうっかり顧客データを危険にさらしてしまう可能性があります。

「データプライバシーのベストプラクティスについて、チームが高度な知識を持っている」と回答したCXリーダーの割合はたった28%Zendesk CXトレンドレポート 2024

2. 必要なデータのみを収集する

事業運営に必要な顧客データのみを収集することは、顧客情報の保護に役立つおすすめの方法の1つです。例えば、顧客の生年月日を知る必要がないのであれば、入力を求めるべきではありません。不要な情報は聞かないという慣行によって顧客との信頼関係を築き、データ侵害やサイバー攻撃で流出する可能性のある情報量を減らすことができます。

さらに、顧客情報を必要以上に収集していない企業は、サイバー犯罪者にとって魅力的なターゲットではなくなる可能性があります。

3. 顧客の機密データを暗号化する

暗号化とはテキストを秘密のコードに変換するプロセスのことで、権限のないユーザーによるアクセスを防ぐことができます。暗号化されていないデータは傍受されると悪用されやすく、ハッカーの格好の標的になります。

すべての顧客データを受け取った瞬間から暗号化することで、暴露のリスクを減らすことができます。例えば、Zendesk Advanced Encryptionは、保存された顧客データを外部の人間がテキストで読めないようにします。

CXリーダーの78%が「カスタマーサービスのやり取りで暗号化を無視すると顧客データが脆弱になる」ことに同意Zendesk CXトレンドレポート 2024

4. 透明性のあるデータプライバシーポリシーを導入する

顧客データを収集する前に、透明性のあるデータプライバシーポリシーを作成し、関連するすべての利害関係者と共有しましょう。データ収集の同意が得られた場合、データプライバシーポリシーには、顧客データの取り扱い方法や使用方法に関する約束事を明確に記載する必要があります。

また、どのように顧客データを収集し、利用し、保存しているかを詳細に記したプライバシーポリシーをWebサイトに掲載する必要があります。顧客データの透明性に関する記載は、解釈の余地のない文章にしましょう。また、プライバシーポリシーページを通じて、顧客は自身の情報がどのように使用されているかを簡単に知ることができます。例えば、Zendeskプライバシーポリシーには、メールアドレスや購入履歴などの個人データの取り扱い方法を明記しています。

5. 定期的にデータ監査を実施する

データ監査を定期的に実施することで、顧客データに関する以下のような疑問に答えることができます。

• どのようなデータを収集していますか？
• データはどこに保存していますか？
• データをどのように利用していますか？

このような疑問に対する答えが分からなければ、顧客データを保護するための適切な手順を踏んでいるかどうかを判断することはできません。

また、定期的なデータ監査によって、収集する必要のない顧客情報を特定することもできます。これにより、事業運営に最も必要なデータのみを収集するよう、情報の収集慣行を修正することができます。

6. データのサイロ化を避ける

データのサイロ化は、データが異なる場所に保存され、データを必要とするすべての人が容易にアクセスできない場合に発生します。企業が顧客データをサイロ化すると、情報の誤解や誤用、漏洩が起こりやすくなります。

信頼できるセキュリティ対策を施したクラウドストレージシステムなど、あらゆる種類の顧客データを単一の場所に保管することで、サイロ化を避けることができます。

7. サイバー攻撃から保護する

サイバー攻撃によって顧客データが流出する可能性があるため、企業は適切なサイバーセキュリティのベストプラクティスに従ってリスクを軽減する必要があります。例えば、ウイルス対策ソフトウェアのようなサイバーセキュリティ保護を導入することで、セキュリティリスクを検出し、サイバー犯罪者が攻撃に使用する可能性のあるマルウェアを除去することができます。

ITリーダーの88%は、今後12ヶ月間にサイバーセキュリティの予算を増やすことを計画Zendesk データセキュリティレポート 2023

8. ソフトウェアを常に最新の状態に保つ

オペレーティングシステムからカスタマーサポートツールに至るまで、ソフトウェア会社からアップデートが通知されたら常に適用しましょう。ソフトウェアのアップデートにはセキュリティパッチが含まれていることが多く、悪質な行為者が悪用しようとする可能性のあるバグや脆弱性を修正するのに役立ちます。

9. 多要素認証を使用する

MFA（多要素認証）とは、Webサイトやアプリへのログイン時に、ユーザーに複数の認証要素を要求する認証方法です。MFA認証要素の例としては、以下のようなものがあります。

• パスワード
• 認証コード（多くの場合、メールまたはテキストメッセージで送信されます）
• 秘密の質問
• 指紋認証

MFAを活用することで、たとえ誰かのパスワードが分かったとしても、悪質な行為者が顧客データに不正アクセスするリスクを減らすことができます。

10. 機密データへのアクセスを制限する

ほとんどの場合、企業のすべての従業員が企業が収集、保存しているすべてのデータにアクセスする必要はありません。必要な人だけが顧客データにアクセスできるようにするには、PoLP（最小特権の原則）の導入を検討してください。

PoLPとは、ユーザーが業務に必要な最小限のデータのみにアクセスできるようにするという情報セキュリティの原則です。これにより、情報が漏れる起点を減らすことができます。

例えば、10人の従業員が顧客分析にアクセスできるものの、本当にこの情報が必要なのは3人だけだとすると、ハッカーが悪用しようとする可能性のある不必要な潜在的な侵入口を7つも作っていることになります。

11. 包括的なデータ保護計画を実装する

顧客データのセキュリティとプライバシーを最大限に高めるには、包括的なデータセキュリティ計画を組織全体で実装する必要があります。具体的には以下のような保護対策があります。

• サイバーセキュリティソフトウェア（アンチウイルス、アンチマルウェア、アンチスパイウェアなど）
• パスワードマネージャー
• 組織全体のサイバーセキュリティ教育
• ポップアップブロッカー
• 次世代ファイアウォール
• 多要素認証
• 必須ソフトウェアのアップデート
• EDR（エンドポイントでの検知と対応）ツール
• データの暗号化
• スパムフィルターとフィッシングフィルター

顧客データを保護するための包括的なアプローチを取ることで、サイバー攻撃やその他のプライバシー脅威で悪用されるリスクを減らすことができます。

12. データ保護法の遵守を見直す

企業と顧客の所在地に基づいて、データ保護に関する法律や規制に従う必要があるでしょう。こういった法律は顧客を保護するものであり、これらに従うことで、企業は顧客データを安全に使用、保管するための正しい道を歩むことができます。

顧客データを収集する前に、どの法律が貴社に適用されるのか調査して判断しましょう。地域によっては、データ収集の拒否やデータアクセスの要求など、顧客に特定のデータ権限を与える必要がある場合があります。このようなプライバシー要求の管理には時間がかかることがあるため、プライバシーワークフローの自動化機能を備えたCXツールを使用し、プロセスの合理化を検討するとよいでしょう。

データプライバシーに関する主な基準と規制

顧客データのプライバシーの基準や規制は世界各地で異なり、米国では州によっても異なります。ここでは、顧客データを扱う際に企業が注意すべき一般的なデータプライバシー法をいくつかご紹介します。

GDPR

GDPR（一般データ保護規則）は、EU（欧州連合）域内で人々のデータを保護するプライバシーとセキュリティに関する法律です。この法律は、EU域内のすべての企業、およびEU域内の人々が関与するデータを対象とする、あるいはそのようなデータを収集するすべての企業に適用されます。

GDPRを遵守すれば、合法的で透明性が高く、公正なデータ処理を確実に実践できます。GDPRの最も注目すべき点のひとつは、顧客がデータを収集される前に「自発的で、具体的で、十分な情報を提供されたうえで、明確な」同意を提供することを義務付けていることです。GDPRはまた、データ収集に反対する権利など、顧客に具体的なプライバシー権を与えています。

GDPRを遵守できない企業には厳しい罰金が課され、罰金額は最大でその企業の世界収益の4%に達する場合もあります。さらに、データを悪用された人は損害賠償を求める権利もあります。

米国のデータプライバシー法

EUとは異なり、米国では現在（2024年1月18日時点）、連邦レベルで統一されたデータプライバシー基準は存在しません。その代わりに、顧客データのプライバシーとセキュリティに関連するさまざまな法律が、連邦レベルと州レベルの両方に存在します。下記で具体的に説明します。

• 1974年プライバシー保護法: この連邦法では、政府の記録に使用される氏名や社会保障番号などの個人情報の収集と使用について規定しています。
• COPPA（児童オンラインプライバシー保護規則）: COPPAは、13歳未満の児童のデータプライバシーを保護する連邦法です。
• グラム・リーチ・ブライリー法（1999年金融近代化法）: この連邦法は、金融機関がデータ収集の慣行について説明し、機密性の高い金融情報を保護することを保証するものです。
• CCPA（カリフォルニア州顧客プライバシー保護法）: CCPAはカリフォルニア州の顧客のデータ収集を規制する法律です。同法は、個人情報の販売や共有を拒否する権利など、顧客に一定の権利を与えています。
• CDPA（顧客データ保護法）: CDPAはバージニア州住民のデータプライバシーを保護する法律です。CCPAと同様、CDPAもデータの削除を求める権利など、顧客に一定の権利を与えています。
• CPA（コロラド州プライバシー法）: CPAはコロラド州住民の個人情報を保護する法律であり、自分のデータがいつ収集されたかを知る権利や、個人情報の販売を拒否する選択権など、複数のプライバシー保護権を顧客に与えています。

米国でビジネスを展開する場合、貴社と貴社の顧客が所在する地域の両方で、すべての個人情報保護法を遵守していることを確認する必要があります。

業界固有のプライバシー基準

プライバシー基準が場所によって異なるのと同様に、企業は以下のような業界固有のプライバシー基準の適用を受ける可能性があります。

• HIPAA（医療保険の相互運用性と説明責任に関する法律）: HIPAAは、患者の重要な健康情報のプライバシーを保護する連邦法です。HIPAAでは、患者の同意なしに健康情報を開示することはできません。
• HDS（健康データホスティング）: HDSはHIPAAと同様、フランスにおける患者の健康データを保護するプライバシー基準です。
• PCI DSS（ペイメントカード業界データセキュリティ基準）: PCI DSSは、デビットカードやクレジットカードなどのペイメントカードを使用する顧客のデータを保護するための世界的なセキュリティ基準です。簡単に言えば、カードによる支払いを受け入れる企業の場合、PCI DSSに準拠していることを確認する必要があります。
• FERPA（家族教育権とプライバシー法）: FERPAは、米国 教育省が資金提供するすべての学校の生徒の教育記録の個人情報を保護する連邦法です。

顧客データを確実に保護できるよう、どんな業界固有のプライバシー基準が適用される可能性があるのかご確認ください。

よくある質問と回答

Zendeskで顧客データを保護

顧客を守り、信頼を築くには、安全なCXを提供できるツールをお使いください。適切なツールを使わず保護対策を実施していない企業は顧客からの信頼を得られず、顧客はその企業に自身の個人情報を預けられないと考えるかもしれません。

Zendeskのような信頼できるCXツールを使えば、BYOK（Bring Your Own Key）暗号化で顧客データを保護することができます。さらに、Zendeskは業界標準のデータプライバシーフレームワークに準拠し、顧客データプライバシー保護機能（カスタムデータ保持ポリシーなど）を備えているため、必要なデータのみを保持することができます。

ぜひ無料トライアルで試しください。